Лица ИБ. Владимир Безмалый. Об обучении пользователей

Лица ИБ. Владимир Безмалый. Об обучении пользователей
"Эра двоечников настала. Эра, эпоха, чудовищное, могучее поколение двоечников и неучей. Нет, они и раньше были, но еще несколько лет назад они не так сильно бросались в глаза. Как-то стеснялись своей безграмотности, что ли. А сейчас они, такое ощущение, везде."

Yerzhan Yessimkhanov


1. Добрый день, Владимир! Интервью с вами я считаю одним из своих самых удачных проектов. С таким интересным собеседником нельзя ограничиться одним разговором. Сегодня я бы хотела побеседовать с вами о корпоративном обучении. 
2. Владимир, при обсуждении темы интервью вы сразу предложили обсудить корпоративное обучение. Почему вы считаете эту проблему столь актуальной?
2.1.1. На самом деле так считаю не только я. Основная проблема безопасности сегодня, впрочем, увы, как и всегда – это человек. Гаджетов все больше, ума, увы, все меньше и меньше. Потому, на мой взгляд, есть две проблемы:
2.1.1.1. Крайне низкие знания ИТ (особенно в небольших городах). Чаще всего знают куда «тыкать», но не знаю почему. ИТ постепенно превращается в ремесло
2.1.1.2. Широкое распространение гаджетов привело к тому что все пользователи уверены что знают все.
2.1.1.3. Обе категории упорно не хотят и не умеют учиться.
2.1.2. Вместе с тем хотелось бы отметить, что в этом, увы, виновата система образования, причем не только в России. Ученики привыкают заучивать нужные ответы, но не привыкают самостоятельно думать!
3. На вашем сайте не так давно вышла заметка, в которой говорится, что «В среднем сотрудники отправляют более 130 писем в неделю неправильным получателям». Цифра заставляет задуматься. Что можно сделать с невнимательностью пользователя при отправке писем? 
Практически ничего, увы. Единственное что можно предложить – создавать интервал, в течение которого пользователь может отозвать свое письмо и оно не будет отправлено. Понимаете, желательно думать ДО, после, увы, бессмысленно!
4. В одной англоязычной статье я читала, что иногда применяются всплывающие окошки «Вы уверены, что собираетесь отправить письмо на адрес ххх?» И далее предлагается указать пару фраз об ответственности. Насколько это эффективно на ваш взгляд?
Думаю, что подобный подход позволит несколько снизить отправку писем «не туда». Но не стоит обольщаться. Проблему, на мой взгляд, это не решит. Еще раз повторю. Тут нужна внимательность пользователя. Он должен думать. А научить думать… Ой, это сложно! Очень!
5. Другая широко известная проблема – фишинг. Специалисты находятся в постоянном поиске рекомендаций, которые бы позволили просто и понятно обучить пользователей, как отличать «хорошие» письма от «плохих». Возможно ли на ваш взгляд выработать иммунитет к фишингу? Или злоумышленники постоянно совершенствуются и при определенных условиях каждый может стать жертвой?
Хорошее слово «иммунитет». Как показывают исследования, только около 5% пользователей ни разу в жизни не попадались на мошенничество. Можно ли выработать иммунитет к фишингу? На мой взгляд мы не можем полностью заблокировать подобные атаки. Но с помощью регулярного обучения можно снизить количество успешных атак. Увы, гарантировать то, что вас или меня не взломают, на мой взгляд нельзя. Злоумышленники всегда будут на шаг впереди.
6. Вы являетесь сертифицированным тренером ЛК с 2014 года и очень многое знаете об антивирусах, что по вашему мнению пользователи должны знать об антивирусной защите? Осталось ли еще предубеждение, что с антивирусом «все тормозит» или люди в большинстве своем уже убедились, что работать за компьютером без антивируса нельзя категорически?
Ой, какой огромный вопрос. Даже два. Пользователи должны знать:
6.1. Бесплатной защиты не бывает!
6.2. Защититься ТОЛЬКО с помощью антивирусного ПО сегодня невозможно! Есть масса технологий, применяемых в том числе и антивирусами, которые в чистом виде антивирусными не являются. Например firewall, резервное копирование, мониторинг установленного ПО и т.д.
6.3. ЧИТАЙТЕ ДОКУМЕНТАЦИЮ!!!
6.4. Увы, убеждение что «тормозит антивирус» все еще встречается и довольно часто.
6.5. Работать за компьютером без антивируса категорически нельзя. Ага, скажите это миллионам пользователей Android, у которых в лучшем случае установлено какое-то непонятное бесплатное ПО. Убедите их заплатить!
6.6. И снова мы с вами возвращаемся к началу. Пользователей нужно учить!
7. Какие из своих сказок вы бы рекомендовали к изучению корпоративным пользователям в первую очередь?
Ой. На этот вопрос мне сложно ответить. Универсальных сказок, как и одинаковых пользователей не бывает. Да и, кроме того, это как у мамы спросить, а какого ребенка ты больше любишь? Они ведь все для меня как дети. Не знаю. Честно!
8. Часто мне пишут ИТ-специалисты, на которых недавно «повесили» обязанности по обучению пользователей. Владимир, как вы считаете, с чего стоит начать эту непростую работу?
Во-первых, учиться самому, уметь говорить с людьми, понять «где у них болит». Поймите, интересы вашей компании и интересы людей в ней работающих, совершенно разные. Учтите, хороший специалист и хороший преподаватель, увы, чаще всего это совершенно разные люди.
9. Эффективно ли тестирование знаний? Или имеет место «зазубривание правильных ответов»?
А вспомните, как вы сами сдавали экзамены?
Мне повезло с ВУЗом. Когда у нас, начиная с 3-го курса, уже шла специальность, нам неоднократно говорили, что на экзаменах мы можем использовать книги, справочники конспекты (причем как свои, так и чужие). Более того, можно было выйти, пойти погулять и вернуться обратно. Но одно условие. У нас на экзаменах не было теории. Все три задания – практика. И если ты не понимаешь, то книги тебе не помогут. Вот так и тесты должны проходить! Хотя принимать так куда сложнее!
10. Как вы относитесь к "учениям"? Все чаще специалисты советуют иногда рассылать собственноручно сделанные фишинговые письма, чтобы понять, кто из пользователей недостаточно хорошо усвоил правила информационной безопасности.
Считаю это полезной практикой. Правда нужно сразу сформулировать цель таких учений. Не наказать того, кто сделал плохо, а наградить того, кто делает хорошо! Причем в приказе по компании! И довести до всех. А с теми, кто все же делает плохо – провести учения еще раз.
11. Согласны ли вы с тем, что пользователей нужно готовить еще с университета, а может и со школьной скамьи? Сейчас довольно сложно представить рабочее место специалиста без компьютера.
Безусловно еще со школы. Но сразу же хочу предостеречь от всевозможных «решебников». Учить компьютеру нужно. Но на всех остальных уроках смартфонам не место! Нужно учиться думать своей головой. А не искать ответы в Google.
12. Как вы относитесь к принципу BYOD (Bring Your Own Device)? 
С одной стороны – это очень удобно. С другой – приводит к зоопарку. Если вспомнить что я все же «безопасник», то отрицательно. Например, пользователи могут использовать свои смартфоны под Android. Да. Но только под управлением последней или предпоследней версии ОС, что автоматически приводит к тому, что срок службы пользовательского устройства не может быть больше 1.5 лет. 
Ну и последнее. К чему это приведет? У вас на работе будет и Windows (всех возможных версий и редакций) и Mac и всевозможный Android. И если вы и ранее не могли обеспечить толком безопасность, то сейчас и подавно!
13. А как вам стратегия тотального контроля над пользователями? Камеры, запрет использования личных гаджетов. Имеет ли это смысл или только провоцирует на совершение нарушения?
Как по мне все зависит от осознанного понимания запретов. Меня это не напрягает. Это работа. Кто-то в таких условиях просто не сможет работать. Другое дело – если вы ввели тотальный контроль, то для всех! Не должно быть неприкасаемых! Ну и, естественно, этот контроль должен касаться только работы. Личная жизнь ваших сотрудников – это их личное дело!
14. Часто специалисты делятся друг с другом подборками плакатов про информационную безопасность. Эффективно ли их использование? Мне кажется, будет полезно заполнить коридоры и кабинеты напоминаниями об угрозах.
Мне тоже так кажется. Но учтите. Рано или поздно плакаты приедаются. Потому необходимо заранее понять, как и когда вы будете их менять!
15. Владимир, как вы считаете, уровень осознанности пользователя растет?
Сложный вопрос. Хотелось бы чтобы было так. Однако с учетом того, что каждое следующее поколение начинает с тех же ошибок…, хотелось бы верить!
16. Стоит ли привлекать для корпоративного обучения внешних специалистов или можно обойтись собственными силами?
А вот тут я считаю что задавать такой вопрос стоило бы не мне. Все же я внешний преподаватель! Вообще, на мой взгляд, преподаватель должен быть или внешним или в большой компании это должно быть вообще-то выделенное подразделение, потому как преподаватель и хороший инженер это совершенно разные профессии!
17. Кто должен обучать пользователей безопасным методам работы в корпоративной сети?
Или отдел информационной безопасности (если есть штат, время и способности) или внешние специалисты.
18. Какую литературу вы бы посоветовали для чтения неспециалистам, которые интересуются темой информационной безопасности?
Ой… Не сочтите рекламой… Мои сказки ???? Ну и, естественно, кучу специализированных сайтов.
19. Верно ли утверждение, что основные угрозы информационной безопасности исходят изнутри? 
Думаю да. Самая страшная фраза, которую я когда-либо слышал: «Я хотел как лучше!»
20. Чего на ваш взгляд больше – злого умысла или халатности?
Конечно, халатности! Страшен даже не сам по себе дурак в роли пользователя! Страшен дурак с инициативой!
21. Должны ли строгие правила политики безопасности распространяться на ИТ/ИБ подразделения? Или проверяющие «вне игры»?
У вас сегодня очень интересные и умные вопросы, впрочем, как и всегда! Либо правила распространяются на всех сверху до низу либо зачем такие правила?
22. Какие тенденции в корпоративном обучении вы бы выделили?
Мне сложно ответить. Прежде всего я вижу нарастание интереса к «осведомлённости пользователей». В принципе понятно почему. Ведь как я уже говорил, с умными работать проще!
23. Спасибо за столь подробные ответы, Владимир! Беседовать с вами всегда интересно! Пожелайте чего-нибудь хорошего нашим читателям-специалистам.
Пожелать чего-то хорошего? Как говорил когда-то мой командир «Выпьем за нас! Потому что нас кроме нас, никто не любит!
А если серьезно – умных пользователей, умного и щедрого руководства! Ну и УЧИТЬСЯ!!!



 Другие Лица ИБ:
Константин Саматов
Евгений Царёв

Ну и, как всегда, минутка саморекламы. В ноябре вышла моя вторая книга по защите персональных данных. Чтобы приобрести "Персональные данные: как перестать беспокоиться и начать защищать?", обратитесь в личные сообщения:

Вконтакте:  https://vk.com/shudrova
telegram: @KseniaShudrova
instagram: @boyarinya_marshmelova 
Книга электронная! Стоимость - 200 р.
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Ксения Шудрова

эксперт по информационной безопасности, аспирант Сибирского государственного аэрокосмического университета